여러 위치에서 내부망 안전하게 접근하는 기술 지속적으로 업그레이드
[데이터넷] 공공기관의 ‘온북’ 전환 사업이 진행되고 있다. 정부는 구름OS를 탑재한 온북을 2027년까지 도입 완료, 시공간 제약 없이 업무에 접속할 수 있도록 할 계획이다.
온북은 국가보안기술연구소의 보안모듈을 적용해 보안성을 강화했으며, 제로 트러스트 기반 신뢰 부팅과 SSL VPN 선행인증, GPMS 인증 체계 등의 기능을 갖춘 구름 플랫폼을 탑재한다.
온북을 사용한다 해도 망분리 환경은 유지된다. 인터넷망과 업무망을 이동하기 위해서는 보안 게이트웨이를 거친 후 망연계 시스템을 통과해야 한다. 외부에서 연결은 반드시 SSL VPN을 이용하며, 인터넷망에는 인터넷 VDI 서버를 통해 망분리를 유지해야 한다.
온북 외에도 망분리 사업은 다양한 도전에 직면해 있다. 가장 먼저 클라우드 환경에서 망분리의 이점을 유지하면서 유연하게 업무 할 수 있어야 한다는 요구가 있다.
한승열 쓰리에스소프트 부장은 9일 열린 ‘제 22회 차세대 보안 비전’의 ‘망분리 시장 동향 및 기술 트렌드’ 세션에서 클라우드를 포함한 다양한 환경에서 망분리와 망연계 시스템을 어떻게 구성했는지 상세히 설명했다.
클라우드 망분리로 중요 데이터·시스템 보호
쓰리에스소프트가 수행한 P사의 클라우드 망연계 사업의 경우, 기존 프라이빗 클라우드 환경에서 퍼블릭 환경으로 전환하면서 퍼블릭 그룹웨어 연동, 다중 수신자 연동, 개인정보 포함 사전결재 전환 등의 자료연계 요구사항을 충족하는 퍼블릭 클라우드 망연계 시스템을 구축했다.
A사는 회사 내부에서 사용할 때는 업무망 1차인증, 정부망 접근 2차인증을 수행하도록 했으며, 출장 근무자와 재택근무자는 허용된 IP를 통해 1차 인터넷망 VPN에 2팩터 인증을 통해 인터넷망 서버팜에 접속, SSO 연동으로 개인 또는 공용VM에 접속하고, 이후 업무망에 접근할 수 있게 했다. 인터넷 망 VM 접근은 프록시 서버를 경유해 망연계장비를 통해 필터링되며, 방화벽과 관리서버의 인증을 통해서 최종 VM에 접근하게 했다.
B사는 L4 중심 네트워크 구조를 개선하고, 주요 구간 10G 인터페이스로 대역폭을 확장하면서 망분리를 위한 신규 장비를 도입하고자 했다. B사는 또한 랜섬웨어 피해를 막고 인터넷 직접 접속을 통한 위험을 원천 차단하기를 원했다. 더불어 망간 출입자료에 대한 결재라인과 정책을 설정해 보안성을 강화할 것을 요구했으며, 망분리 통신 정책에 대해 사전 정의해 망분리 후에도 접근 허용된 영역 내에서 동일한 서비스를 연속 사용하기를 바랐다.
B사의 네트워크 환경 개선 사업의 개요를 설명하면, 원격근무자가 VPN을 통해 외부 방화벽으로 접근, 인터넷망의 VDI, 대외연계 서비스에 접속할 수 있으며, 망연계 시스템을 통해 업무망으로 접근하면, 내부 방화벽을 거쳐 업무PC와 내부서버, 대외연계 서비스 등에 접속할 수 있게 했다.
출장자와 재택근무자를 위한 원격근무환경을 지원하기를 원했던 C사는 본사 이외의 장소에서 업무망을 설치해야 했으며, 1000명의 사용자를 대상으로 행정망 조회용 100VM을 구축하고, 2만명의 사용자를 대상으로 업무망을 위한 논리적 망분리를 구축, 원격근무용 300VM 구축 사업을 진행했다. 행정망과 업무망, 인터넷망을 효과적으로 분리해 출장이나 본사외의 장소에서도 효율적으로 업무하면서 외부 위협을 차단했다.
클라우드 기반 스마트 오피스 구축을 진행한 D사의 경우, VDI로 원격근무 시에도 안전하게 사내 업무에 접속할 수 있게 했으며, VDI는 암호화 통신과 화면캡처 방지 기능을 적용했다. 관리서버는 내부망에 설치해 해킹을 차단했으며, 망연계 시스템은 TCP/IP 트래픽을 사용하지 않아 악성트래픽을 원천 차단했다. 더불어 문서중앙화를 도입, 데이터의 효과적인 관리와 안전한 보호가 가능하게 했다.
한승열 본부장은 “공공, 금융, 방산 등 여러 산업군에서 망분리가 확산되고 있다. 망분리는 외부 인터넷 위협을 차단하고 내부정보 유출을 방지하는 근본적인 대안을 제시한다”며 “클라우드·하이브리드 업무 환경에 맞는 망분리와 망연계 기술은 디지털 트랜스포메이션을 안전하게 지원할 수 있다”고 말했다.
망분리 규제 개선…더 안전한 내부망 보호 지원
쓰리에스소프트는 망분리와 망연계 솔루션 제품군 ‘네픽스(NEPYX)’를 공급하고 있으며, 최신 기술 환경에 맞는 고도화된 기술을 지속적으로 추가하고 있다. 클라우드 기반 문서중앙화, 고성능 VPN, 2FA·SSO, 비 TCP/IP 망연계 등과 연계해 더 안전하고 편리한 업무 환경을 구현할 수 있게 한다.
네픽스 제품군은 VDI 솔루션 ‘네픽스 넷데스크톱(NEPYX NDT)’, 메일연계 시스템 ‘네픽스 메일브릿지’, 파일·자료 연계 시스템 ‘네픽스 파일브릿지’, 스트리밍 연계 시스템 ’네픽스 네트워크 브릿지’ 등으로 구성된다.
네트워크 브릿지는 비TCP, UDP, DBMS 등 TCP/IP 프로토콜을 연계하며, 국정원 검증필 암호화 모듈 탑재, IPS, URL 필터링, 접속현황 실시간 모니터링 기능을 제공한다. 파일브릿지는 결재 프로세스와 DOP 연동, 상용백신 탑재로 악성코드 검사 후 전송이 가능하다. 메일브릿지는 외부메일을 파일로 분해해 클린화 한 후 내부로 파일을 전송한다. 메일에 숨은 악성코드를 제거하며, 내용과 무관한 태그 제거, 첨부파일 분리와 악성코드 검사, 모든 링크는 보안링크로 변경하고, 첨부파일은 PDF로 변환해 악성코드가 실행되지 않게 한다. 또한 무해화 한 메일은 원본 그대로 보이게 해 업무 수행에 불편이 없게 한다.
메일연계 시스템을 구축한 W사는 외부 메일을 수신했을 때 클린 HTML 방식으로 텍스트를 복사한 후 첨부파일 목록을 학인하고 첨부파일 반입 승인을 요청해 승인 후 외부 메일을 재수신한다. 수신된 메일은 원본과 동일하게 보이게 하되, 외부 링크는 세이프 브라우징 처리로 인터넷 연결을 차단시킨다.
넷픽스 넷데스크톱은 논리적 망분리를 위한 VDI 솔루션으로, 빠른 속도와 높은 성능을 지원하며, 관리 포털을 통해 관리 업무 편의성을 높인다.
한승열 본부장은 “공공·금융 망분리 규제 완화 움직임이 있지만, 실제 내용을 보면 망분리 요건을 완화했다기보다 비합리적인 규제 요건을 개선한 것이라고 할 수 있다. 여전히 중요한 업무망과 행정망은 망분리 환경에서 보호하되, 여러 위치에서 내부망에 안전하게 접근할 수 있도록 보안과 편의성을 강화하도록 하고 있다. 특히 클라우드 환경에서 침해받기 쉬운 내부망이나 내부 클라우드를 보호하기 위한 노력이 필요하다. 쓰리에스소프트는 이러한 변화를 지원하는 망분리·망연계 기술을 지속적으로 제공해나갈 것”이라고 말했다.
